【网络安全】SQL注入-XFF头注入 - 代码天地

【网络安全】SQL注入-XFF头注入

编程语言 2023-04-16 12:53:57 阅读次数: 0

XFF头注入

注入原理

getenv(‘HTTP_X_FORWARDED_FOR’)获取可以回去远端服务器的ip地址，若没有进行处理我们可以使用HTTP_X_FORWARDED_FOR函数获取ip进行联合查询，从而造成xff注入漏洞
HTTP_X_FORWARDED_FOR的值没有进行过滤拼接SQL语句带入查询造成注入。

代码分析

在这里插入图片描述

注入步骤

是否可以回显ip

添加请求信息：
X-Forwarded-For

在这里插入图片描述
2. 判断是否存在注入点

1=1返回结果
在这里插入图片描述
1=2返回结果

3. 判断字段数量

在这里插入图片描述

》经判断字段数量为4

4.使用联合查询查看相关信息
在这里插入图片描述
5. 剩余步骤与联合注入无异，不在展示

猜你喜欢

转载自blog.csdn.net/qq_41158271/article/details/130019171

【网络安全】SQL注入-XFF头注入

网络安全SQL注入

【网络安全】SQL注入--堆叠注入

【网络安全】SQL注入--时间注入

【网络安全】SQL注入--报错注入

网络安全之web攻防 sql注入 XFF注入获取网站管理员账号密码

网络安全-SQL注入原理及防御SQL注入

网络安全（四 SQL注入）

网络安全：sql注入基础

网络安全之SQL注入

网络安全笔记--简要SQL注入

【网络安全】sql注入语法汇总

网络安全笔记--SQL注入

「网络安全」SQL注入攻击的真相

网络安全必学 SQL 注入

网络安全之SQL 注入实战

网络安全——SQL注入攻击

【网络安全】初探SQL注入漏洞

【网络安全】SQL注入漏洞详解

网络安全：SQL 注入漏洞

【网络安全】SQL注入详解

【网络安全】SQL注入--二次注入

【网络安全】SQL注入--宽字节注入

【网络安全】SQL注入--base64注入

【网络安全】SQL注入、XML注入、JSON注入和CRLF注入科普文

网络安全——Cookie注入

网络安全——报错注入

网络安全__Web之SQL手工注入

网络安全：sql注入基础——盲注

网络安全博客3-sql注入

今日推荐

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

周排行

循环神经网络（rnn）讲解

Tigao教程四：单独的关节运动

金蝶K3WISE15.0-注册套打教程

如何在Mac上配置Kubernetes

Android应用结束自身进程的方法

SpringMVC学习十三拦截器栈

中国驻洛杉矶总领馆举行新春招待会

HttpClient get post 发送

11 - three.js 笔记 - 绘制三维字体模型

Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点

每日归档

更多

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)